Laatste update 12-03-2018
Introductie
Om ervoor te zorgen dat uw systeem optimaal wordt beschermd, moet u uw firewall voor Cisco Adaptive Security Appliance (ASA) regelmatig updaten met de nieuwste patches. Hiermee voorkomt u mogelijke beveiligingsrisico's.
In deze handleiding wordt uitgelegd hoe u uw Cisco ASA-firewall kunt upgraden.
Vereisten
- U moet toegang hebben tot een OVH Control Panel.
Instructies
Schakel de Cisco ASA-firewall uit via het Control Panel
Het upgradeproces vereist dat uw systeem meerdere keren opnieuw opstart. Daarom raden we aan de Cisco ASA-firewall uit te schakelen, zodat uw server tijdens het upgradeproces geen storingen ondervindt.
Hiervoor gaat u naar uw OVH Control Panel in het gedeelte Dedicated. Kies vervolgens uw dedicated server, en Cisco ASA Firewall. Klik vervolgens op Cisco ASA-firewall uitschakelen aan de rechterkant.
Pas configuratie toe
Eerste methode via ASDM
Log in op uw Cisco Adaptive Security Device Manager (of ASDM), kies dan File en Save Running Configuration to Flash:
Tweede methode via SSH
Log u in op de ASA via het SSH-protocol:
user@desk:~$ ssh adminovh@IP_ASA
adminovh@IP_ASAs password:
Type help or '?' for a list of available commands.
asa12345> en
Password:
Draai het volgende commando uit:
asa12345# write memory
Building configuration...
Cryptochecksum: 4b86b1e4 2e731d6b 9d1fc491 a5eae0f3
6854 bytes copied in 1.20 secs (6854 bytes/sec)
[OK]
Sla de configuratie op
Creëer een lokaal bestand, bijvoorbeeld backupAsa.txt. Log u in op ASDM en ga naar Tools, dan Backup Configurations.
Selecteer in het popup-menu dat wordt geopend het lokale bestand dat u zojuist hebt gemaakt (met Browse Local...) en sla de configuratie op door op Backup te klikken.
Laad de ASA opnieuw
Deze stap is belangrijk, omdat u ervoor moet zorgen dat de ASA naar behoren werkt en toegankelijk is na een enkele reload.
Eerste methode via ASDM
Log u in op Cisco Adaptive Security Device Manager, kies vervolgens Tools en System Reload...:
Als u de dienst onmiddellijk opnieuw wilt laden, selecteert u in het venster dat verschijnt Reload Start Time > Now > Schedule Reload.
Tweede methode via SSH
Log u in op de ASA met behulp van het SSH-protocol en voer het volgende commando uitreload:
asa12345# reload
Proceed with reload? [confirm]
***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down File system
***
*** --- SHUTDOWN NOW ---
De herstart voor het opnieuw laden van de configuratie duurt enkele minuten.
Schakel de ASA opnieuw in via het Control Panel
Hiervoor gaat u naar uw OVH Control Panel in het gedeelte Dedicated. Kies vervolgens uw dedicated server, en Cisco ASA Firewall. Klik vervolgens op Cisco ASA-firewall inschakelen aan de rechterkant.
Na het herladen, nadat de ASA-firewall opnieuw is ingeschakeld, controleert u of alle diensten van uw server correct werken. Als alles werkt, gaat u naar de volgende stap. Als u problemen ondervindt, voert u de controles uit die nodig zijn om ze op te lossen voordat u doorgaat met de volgende stappen.
Schakel de Cisco ASA-firewall opnieuw uit via het Control Panel
Nu moet u de Cisco ASA-firewall opnieuw uitschakelen, net als in de eerste stap.
Hiervoor gaat u naar uw OVH Control Panel in het gedeelte Dedicated. Kies vervolgens uw dedicated server, en Cisco ASA Firewall. Klik vervolgens op Cisco ASA-firewall uitschakelen aan de rechterkant.
Controleer de binaire afbeelding die momenteel wordt gebruikt
Eerste methode via ASDM
Meld u aan bij Cisco Adaptive Security Device Manager en ga vervolgens naar Apparaatinformatie, dan Algemeen. Hier ziet u de Cisco ASA- en ASDM-versies die u gebruikt. We raden u aan deze gegevens te noteren en bij de hand te houden.
Tweede methode via SSH
Log in via het SSH-protocol en voer het volgende commando in:
asa12345# sh run | i bin
boot system disk0:/asa847-30-k8.bin
asdm image disk0:/asdm-771.bin
- boot system: ASA versie
- asdm image: ASDM versie
Ga na welke binaire afbeelding moet worden gebruikt
Raadpleeg de onderstaande tabel om de binaire afbeelding te vinden die u moet gebruiken:
| Huidige ASA-versie | Eerste versie om naar te upgraden | Upgrade dan naar |
|---|---|---|
| 8.2(x) of ouder | 8.4(6) | 9.1(3) en later |
| 8.3(x) | 8.4(6) | 9.1(3) en later |
| 8.4(1) tot 8.4(4) | 8.4(6) of 9.0(2+) | 9.1(3) en later |
| 8.4(5+) | Geen | 9.1(3) en later |
| 8.5(1) | 9.0(2+) | 9.1(3) en later |
| 8.6(1) | 9.0(2+) | 9.1(3) en later |
| 9.0(1) | 9.0(2+) | 9.1(3) en later |
| 9.0(2+) | Geen | 9.1(3) en later |
| 9.1(1) | 9.1(2) | 9.1(3) en later |
| 9.1(2+) | Geen | 9.1(3) en later |
| 9.2(x) | Geen | 9.2(2) en later |
Als u bijvoorbeeld ASA-versie 8.4 (2) gebruikt, dan moet u eerst uw systeem upgraden naar versie 8.4 (6) en vervolgens upgraden naar 8.4 (7+) of 9.2+.
Voor meer informatie kunt u de Cisco ASA-upgrade-handleiding raadplegen.
Voor Cisco ASA-firewalls met 256 MB geheugen raden we aan om alleen naar 8.4 (x) te upgraden. Versies 9.1 (x) en 9.2 (x) gebruiken bijna alle 256 MB zelfs voordat ze al gaan draaien.
Er zijn twee manieren om te controleren welke versie u hebt:
- In SSH met het commando:
asa12345# sh ver| i RAM
Hardware: ASA5505, 512 MB RAM, CPU CPU Geode 500 MHz
- In ASDM, in het
Tools-gedeelte, vervolgensCommand Line Interface...:
Ongebruikte binaire afbeeldingen verwijderen
Voordat u nieuwe binaire afbeeldingen toevoegt, raden we aan oude afbeeldingen te verwijderen.
Eerste methode via ASDM
Log u in op Cisco Adaptive Security Device Manager. Ga dan naar Tools, vervolgens File Management....
Verwijder vervolgens de binaire afbeeldingen (.bin) die u niet gebruikt. Nu zou u slechts één bestand voor de ASA moeten hebben en een andere voor de ASDM op de schijf.
Tweede methode via SSH
Log u in op uw ASA via het SSH-protocol en verwijder vervolgens de bestanden nadat u ze hebt vermeld:
asa12345# sh flash: | i bin
128 26995116 Apr 18 2017 23:55:52 asdm-771.bin
144 23016144 Dec 12 2016 14:35:07 asdm-721-150.bin
138 25214976 Nov 18 2017 23:29:54 asa847-30-k8.bin
asa12345# delete flash:asdm-781-150.bin
Delete filename [asdm-721-150.bin]?
Delete disk0:/asdm-721-150.bin? [confirm]
Voeg de ASDM binaire afbeeldingen toe en installeer deze
Eerste methode via ASDM
Log u in op Cisco Adaptive Security Device Manager. Ga vervolgens naar Tools en klik op Upgrade Software from Local Computer....
Selecteer in het volgende venster:
- Image to upload: ASDM;
- Local File Patch: klik
Browse Local Filesen kies uw ASDM binaire beeldversie.
Om uw keuze te bevestigen, klikt u op Upload Image en vervolgens op Yes om te bevestigen dat dit de boot-afbeelding zou moeten zijn:
Tweede methode via SSH
De binaire afbeelding moet van tevoren op een FTP-server worden geplaatst, daarna moet u de ASA configureren met behulp van het SSH-protocol, en de configuratie opslaan:
asa12345# copy ftp://USER:PASSWORD@FTP_IP/FOLDER/asdm-781.bin flash:asdm-781.bin
Address or name of remote host [FTP_IP]?
Source username [USER]?
Source password [PASSWORD]?
Source filename [asdm-781.bin]?
Destination filename [asdm-781.bin]?
Accessing ftp://USER:PASSWORD@FTP_IP/FOLDER/asdm-781.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/asdm-781.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
25025404 bytes copied in 41.690 secs (610375 bytes/sec)
asa12345# conf t
asdm image asa12345:/asdm-781.bin
asa12345(config)# end
asa12345# write memory
Voeg de ASDM binaire afbeeldingen toe en installeer deze
Eerste methode via ASDM
Log u in op Cisco Adaptive Security Device Manager. Ga vervolgens naar Tools en klik op Upgrade Software from Local Computer....
Selecteer in het volgende venster:
- Image to upload: ASA;
- Local File Patch: klik
Browse Local Filesen kies uw ASDM binaire beeldversie.
Om uw keuze te bevestigen, klikt u op Upload Image en vervolgens op Yes om te bevestigen dat dit de boot-afbeelding zou moeten zijn:
Tweede methode via SSH
Log in via het SSH-protocol en voer het volgende commando in:
asa12345# copy ftp://USER:PASSWORD@FTP_IP/FOLDER/asdm-924.bin flash:asdm-924.bin
Address or name of remote host [FTP_IP]?
Source username [USER]?
Source password [PASSWORD]?
Source filename [asdm-924.bin]?
Destination filename [asdm-924.bin]?
Accessing ftp://USER:PASSWORD@FTP_IP/FOLDER/asdm-924.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/asdm-924.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
28057462 bytes copied in 46.270 secs (609345 bytes/sec)
asa12345# conf t
asdm image asa12345:/asdm-924.bin
asa12345(config)# end
asa12345# write memory
Laad de ASA opnieuw
Deze stap is belangrijk, omdat u ervoor moet zorgen dat de ASA naar behoren werkt en toegankelijk is na een enkele reload.
Eerste methode via ASDM
Log u in op Cisco Adaptive Security Device Manager. Kies dan Tools, vervolgens System Reload...:
Als u de dienst onmiddellijk opnieuw wilt laden, selecteert u in het venster dat verschijnt Reload Start Time: Now, klik daarna op Schedule Reload:
Tweede methode via SSH
Log u in op de ASA met behulp van het SSH-protocol en voer het volgende commando uitreload:
asa12345# reload
Proceed with reload? [confirm]
***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down File system
***
*** --- SHUTDOWN NOW ---
De herstart voor het opnieuw laden van de configuratie duurt enkele minuten.
Als u in dit stadium de ASA-binaire afbeelding niet kunt toevoegen, start u het systeem opnieuw op om de ASDM te upgraden en verwijdert u vervolgens de ongebruikte ASDM-binaire afbeelding om ruimte vrij te maken.
Update vervolgens de ASA binaire afbeelding volgens de hierboven beschreven procedure.
Corrigeer de configuratie
Wanneer u ASA upgradet van versies ouder dan 8.4.6, ziet u deze nieuwe configuratie na het opnieuw opstarten:
asa12345# sh run | i bin
no arp permit-nonconnected
De configuratie moet als volgt worden gecorrigeerd:
asa12345# conf t
asa12345(config)# aarp permit-nonconnected
asa12345(config)# end
asa12345# write memory
Building configuration...
Cryptochecksum: 4b86b1e4 2e731d6b 9d1fc491 a5eae0f3
6854 bytes copied in 1.20 secs (6854 bytes/sec)
[OK]
Schakel de ASA opnieuw in via het Control Panel
Hiervoor gaat u naar uw OVH Control Panel in het gedeelte Dedicated. Kies vervolgens uw dedicated server, en Cisco ASA Firewall. Klik vervolgens op Cisco ASA-firewall inschakelen aan de rechterkant.
Uw ASA is geüpgraded.
Verder
Ga in gesprek met andere communityleden op https://community.ovh.com/en/.